מי עומד מאחורי - Doxagram

כולנו שמענו לאחרונה על Doxagram - אתר שעלה לאחרונה, לאחר שהבעלים שלו ניצלו חולשה פשוטה במנגנון שחזור הסיסמאות של Instagram, והצליחו לחלץ פרטים אישיים של כ - 200+ מיליון משתמשים (בפייסבוק טעונים שפחות).
בכדי לפרסם את השירות, מפעילי האתר פרסמו הודעות במגוון פורומים ברשת לדוגמא:

Doxagram_forum_post

בפוסט הם אפילו מציינים:

OUR SERVICE IS 100% LEGAL. WE ARE A DATA BROKER! YOU CAN BUY FROM US SAFELY!!!

סוחרי מידע? אני רץ להביא את הארנק (:
לשירות נרשמו שני דומיינים:

https://DOXAGRAM.WS
https://DOXAGRAM.SU

הדומיין הראשון נרשם בעת ההשקה (31/08/2017) הוא אינו פעיל ורשומות ה - Whois לא מחזירת מידע מעניין. יום לאחר ההשקה (01/09/2017) נרשם דומיין נוסף הפעיל מבין השניים. רשומות ה - whois שלו היו קצת ייותר מעניינות:

domain:        DOXAGRAM.SU
nserver:       merlin.ns.cloudflare.com.
nserver:       vera.ns.cloudflare.com.
state:         REGISTERED, DELEGATED
person:        Private Person
e-mail:        [email protected]
registrar:     R01-SU
created:       2017-09-01T21:00:36Z
paid-till:     2018-09-01T21:00:36Z
free-date:     2018-10-05
ource:        TCI

Last updated on 2017-09-05T08:56:34Z

צילום מסך:

doxagram_website


הסיומת .su היא סיומת שהוקצתה לאיחוד הסוביטי ונפוצה ברוסיה. התוקפים מעידים על כך:

We will never stop selling the data, we are Russians and cannot be taken down in our mainland,
mother russia.

הדבר שעניין אותי כמובן היתה כתובת הדוא"ל שאיתה נרשם הדומיין:

[email protected]


לאחר מחקר גיליתי שמשנת 2013 עד 2017 נרשמו 13 דומיינים עם אותה כתובת דוא"ל:

דומיין תאריך יצירה
marinzer-3.com 2013-10-09
ajax-loads.com 2014-04-29
google-free-dns.com 2014-04-04
megasfu.com 2014-04-29
mota38.com 2014-04-29
platunb.com 2014-04-29
flumenco.com 2015-01-12
technicalpreviews.com 2015-04-02
fire-dns.com 2015-04-14
expert-bankers.com 2016-08-07
agliesc.com 2016-08-23
nexyownmexxfinla.su 2016-08-31
doxagram.su 2017-09-01


כולם לא פעילים למעט הדומיין (doxagram.su) הקמפיין האחרון של התוקפים.
לפי שמות הדומיינים נראה שהם שימשו בעיקר להונאות רשת: פישיינג, exploit-kits וכדומה.
כמעט כולם נרשמו דרך הרשם הסיני now.cn. השאר נרשמו דרך הרשם הרוסי r01.ru - הדומיינים נרשמו עם מספר שמות בדויים כמו:

Ri Chardweiertis
Leah Duffy
Anna Bolisee
Justin Dickerson
Ma Reknovmank
Joseph Slater
Carlos J Ctouma

השם היחיד שקישר למישהו בעל יכולת ביצוע הקמפיין הוא: Leah Duffy. ששמה רשום על הדומיין:

ajax-loads.com

הוא היה בין הראשונים שנרשמו ולכן החלטתי לבדוק אותו יותר לעומק.
שיין דאפי (Shane Duffy) הוא בחור אוסטרלי בן 21 שנאשם בשנת 2014 בפריצה לרשת riot-games ומכירת פרטי 67 מיליון משתמשים לכל דורש, הוא נחשד גם בגניבת ביטקויין בשווי 100,000$ מהחברה. לאמו של שיין קוראים: לאה - “Leah Duffy”. - מקור. בשנת 2016 הוא הואשם בחשדות נגדו לאחר שהודה במעשים ונידון למאסר על תנאי.
לא הצלחתי למצוא עוד מידע על הנושא וכנראה שזה צירוף מקרים.

מי עומד מאחורי Doxagram

נראה שהמפעילים של - Doxagram אכן נמצאים ברוסיה, מצאתי מספר פוסטים שנרשמו ברוסית והכיל תוכן שקישר לשמות המתחם שנרשמו. נראה שהתוקפים לא טרחו לשנות את כתובת הדוא"ל המרכזית שלהם. מה שעוזר לקשר את כל הפעילות הפלילית שלהם ברשת.

בסופו של דבר הצלחתי לזהות מספר אנשים שנקשרו בשלב כלשהו לתוקפים ולמידע שאספתי. חלקם מקושרים בדרך עקיפה, כך שיכול להיות שהם לא התוקפים, ולכן לא אפרסם את שמם. אבל פעילות פלילית שכזאת לאורך שנים תמיד משאירה עקבות.